Included in Log4j 1.2 is a SocketServer class that is vulnerable to deserialization of untrusted data which can be exploited to remotely execute arbitrary code when combined with a deserialization gadget when listening to untrusted network traffic for log data. This affects Log4j versions up to 1.2 up to 1.2.17.
oryginał ENCVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HApache Bookkeeper
APPApache< 4.14.3Apache Log4j
APPApache≤ 1.2.17Canonical Ubuntu
OSCanonical18.04Debian
OSDebian10.08.09.0Netapp Oncommand System Manager
APPNetapp3.0 – 3.1.3Netapp Oncommand Workflow Automation
APPNetappwszystkie wersjeOpensuse Leap
OSOpensuse15.1Oracle Application Testing Suite
APPOracle13.3.0.1Oracle Communications Network Integrity
APPOracle7.3.2 – 7.3.6Oracle Endeca Information Discovery Studio
APPOracle3.2.0Oracle Financial Services Lending And Leasing
APPOracle12.5.014.1.0 – 14.8.0Oracle MySQL Enterprise Monitor
APPOracle≤ 8.0.29Oracle Primavera Gateway
APPOracle17.12.0 – 17.12.716.2 – 16.2.11Oracle Rapid Planning
APPOracle12.112.2Oracle Retail Extract Transform And Load
APPOracle19.0Oracle Retail Service Backbone
APPOracle14.115.016.0Oracle Weblogic Server
APPOracle10.3.6.0.012.1.3.0.012.2.1.3.012.2.1.4.014.1.1.0.0
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
RCEDeserialization
Referencje
Powiązane podatności
CVE-2026-24061CRITICAL9.8⚠ KEVPL ✓ten sam produkt
GNU Inetutils telnetd: ominięcie uwierzytelnienia przez zmienną USER
CVE-2025-32463CRITICAL9.3⚠ KEVPL ✓ten sam produkt
Sudo: eskalacja uprawnień do root poprzez opcję --chroot (CVE-2025-32463)
CVE-2025-49113CRITICAL9.9⚠ KEVPL ✓ten sam produkt
RCE przez deserializację PHP w Roundcube Webmail (parametr _from)
CVE-2025-32433CRITICAL10.0⚠ KEVPL ✓ten sam produkt
Erlang/OTP SSH — nieuwierzytelniony RCE (CVSS 10.0)
CVE-2025-24201CRITICAL10.0⚠ KEVPL ✓ten sam produkt
Apple WebKit: out-of-bounds write umożliwiający ucieczkę z sandbox przeglądarki